從1966年分布式拒絕服務(wù)(DDoS)攻擊誕生至今����,便一直困擾著網(wǎng)絡(luò)安全���,尤其是隨著新技術(shù)的不斷催生�,導(dǎo)致 DDoS 攻擊結(jié)合新技術(shù)演變出多種類型��。DDoS 攻擊作為黑灰產(chǎn)的手段之一��,使許多企業(yè)與國(guó)家蒙受巨大損失�����。
愛沙尼亞網(wǎng)絡(luò)戰(zhàn)
2007年4月���,愛沙尼亞遭受了大規(guī)模DDoS攻擊�,黑客目標(biāo)包括國(guó)會(huì)、政府部門����、銀行以至媒體的網(wǎng)站,其攻擊規(guī)模廣泛而且深縱�,這次襲擊是為了回應(yīng)與俄羅斯就第二次世界大戰(zhàn)紀(jì)念碑「塔林青銅戰(zhàn)士」的重新安置引發(fā)的政治沖突。事件在國(guó)際軍事界中廣受注目���,普遍被軍事專家視為第一場(chǎng)國(guó)家層次的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)��。
攻擊的第一次高峰出現(xiàn)在5月3日���,當(dāng)天莫斯科爆發(fā)最激烈的反抗。另一次高峰是5月8日和9日�,歐洲各國(guó)紀(jì)念戰(zhàn)勝納粹德國(guó),攻擊同步升級(jí)�����,最少六個(gè)政府網(wǎng)站被迫停站��,當(dāng)中包括外交和司法部�。最后一次攻擊高峰是15日�,該國(guó)最大的幾家銀行被迫暫停國(guó)外連線�����。愛沙尼亞兩大報(bào)之一的《郵政時(shí)報(bào)》的編輯直指:“毫無(wú)疑問�,網(wǎng)攻源自俄羅斯��,這是一次政治攻擊���������!钡砹_斯多次否認(rèn)與事件有關(guān),并抨擊愛沙尼亞虛構(gòu)指控����。這次攻擊導(dǎo)致了網(wǎng)絡(luò)戰(zhàn)國(guó)際法的制定。
最大的DDoS攻擊——GitHub遭受攻擊
GitHub吉祥物
迄今為止�����,最大的DDoS攻擊�����,發(fā)生在2018年2月。這次攻擊的目標(biāo)是數(shù)百萬(wàn)開發(fā)人員使用的流行在線代碼管理服務(wù)GitHub�����。在此高峰時(shí)�,此攻擊以每秒1.3太字節(jié)(Tbps)的速率傳輸流量,以每秒1.269億的速率發(fā)送數(shù)據(jù)包����。攻擊者利用了一種稱為Memcached的流行數(shù)據(jù)庫(kù)緩存系統(tǒng)的放大效應(yīng)。通過(guò)使用欺騙性請(qǐng)求充Memcached服務(wù)器����,攻擊者能夠?qū)⑵涔舴糯蠹s50,000倍。
幸運(yùn)的是���,GitHub正在使用DDoS保護(hù)服務(wù)��,該服務(wù)在攻擊開始后的10分鐘內(nèi)自動(dòng)發(fā)出警報(bào)�����。此警報(bào)觸發(fā)了緩解過(guò)程�,GitHub才能夠快速阻止攻擊。最終�,這次世界上最大的DDoS攻擊只持續(xù)了大約20分鐘。
國(guó)際知名公司 NETSCOUT 公布其調(diào)查報(bào)告結(jié)果顯示�,2021年上半年,網(wǎng)絡(luò)罪犯發(fā)動(dòng)了約 540 萬(wàn)次分布式拒絕服務(wù)(DDoS)攻擊�����,比 2020 年上半年的數(shù)字增長(zhǎng) 11%�。
分布式拒絕服務(wù)攻擊針對(duì)網(wǎng)絡(luò)設(shè)施的缺陷�,攻擊者可以偽造IP 地址,間接地增加攻擊流量�����。通過(guò)偽造源 IP 地址��,受害者會(huì)誤認(rèn)為存在大量主機(jī)與其通信�。黑客還會(huì)利用IP 協(xié)議的缺陷,對(duì)一個(gè)或多個(gè)目標(biāo)進(jìn)行攻擊,消耗網(wǎng)絡(luò)帶寬及系統(tǒng)資源,使合法用戶無(wú)法得到正常服務(wù)。偽造 IP 地址發(fā)動(dòng)攻擊的成本遠(yuǎn)遠(yuǎn)小于組建僵尸主機(jī)�����,且技術(shù)成本要求較低,使得偽造 IP 地址發(fā)動(dòng) DDoS 攻擊在及其活躍�。鑒于分布式拒絕服務(wù)攻擊分布式、欺騙性�����、隱蔽性等特點(diǎn)��,造成追蹤和防范難度大�。
隨著技術(shù)的不斷進(jìn)步,攻擊源追蹤技術(shù)已經(jīng)在追蹤速度����、自動(dòng)化程度、追蹤精確度等方面取得顯著進(jìn)步��, DDoS網(wǎng)絡(luò)層攻擊檢測(cè)也分為多種方式��。那要如何從IP源地址角度預(yù)防DDoS攻擊呢�?
當(dāng) DDoS 攻擊發(fā)生時(shí)或結(jié)束后,可以根據(jù)相關(guān)信息定位攻擊的來(lái)源�����,找到攻擊者的位置或攻擊來(lái)源����。IP地址來(lái)源定位它是 DDoS 攻擊防御過(guò)程中的重要環(huán)節(jié)���,并在其中起到承上啟下的關(guān)鍵作用。精準(zhǔn)的IP地址定位結(jié)果既可以為進(jìn)一步追蹤真正攻擊者提供線索�,也可以為其他的防御措施,如流量限速����、過(guò)濾等措施提供信息,還可以在法律上為追究攻擊者責(zé)任提供證據(jù)��。
基于IP源地址數(shù)量及分布變化來(lái)看��,根據(jù)《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究報(bào)告顯示�����,DDoS為了隱藏攻擊����,攻擊者會(huì)降低攻擊速率���,使攻擊流量速率接近正常訪問速率,以此增加檢測(cè)難度,但在 DDoS 攻擊時(shí)��,訪問 IP 數(shù)量大幅度增加是攻擊的一個(gè)明顯特征�。且此特征無(wú)法隱藏.基于這個(gè)特征,如果能夠?qū)P地址進(jìn)行實(shí)時(shí)監(jiān)測(cè)與判定,便能夠有效地檢測(cè)DDoS攻擊,特別是攻擊源地址分布均勻的 DDoS 攻擊���,采用新源地址出現(xiàn)速率作為攻擊是否發(fā)生的依據(jù),通過(guò)監(jiān)測(cè)訪問流數(shù)量變化,實(shí)現(xiàn)對(duì) Flash Crowd 和 DDoS 攻擊的有效區(qū)分��。
同時(shí)����,根據(jù)《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究報(bào)告顯示����,偽造源地址DDoS 攻擊發(fā)生時(shí),IP源地址的流數(shù)量熵值和目標(biāo)地址流數(shù)量熵值均會(huì)發(fā)生較大變化�,大量流匯聚導(dǎo)致目的地址的熵值大幅度下降,而攻擊流的均勻使得源地址熵值會(huì)有所增加,通過(guò)訓(xùn)練出的閾值,可以檢測(cè) DDoS 攻擊��。
而當(dāng)無(wú)攻擊發(fā)生時(shí),對(duì)某一目標(biāo)地址訪問的源地址分布是穩(wěn)定的�,且通常成簇,而DDoS攻擊發(fā)生時(shí)���,IP源地址的分布趨于離散��?梢愿鶕(jù)IP源地址這一特性,識(shí)別 DDoS攻擊的方法����。
DDoS����、蠕蟲和病毒(垃圾)郵件是影響骨干網(wǎng)安全的 3 個(gè)主要因素,從行為模式上來(lái)看,三者有著明顯的區(qū)別:DDoS表現(xiàn)為多個(gè)地址向一個(gè) IP 地址發(fā)送數(shù)據(jù)���;蠕蟲表現(xiàn)為一個(gè) IP 地址向多個(gè) IP 地址,通過(guò)一個(gè)或多個(gè)端口發(fā)送數(shù)據(jù)包����;病毒郵件則是一個(gè)地址�,通過(guò) 25 端口向多個(gè) IP 地址發(fā)數(shù)據(jù)包。W Chen與DY Yeung將這3 種行為模型稱為威脅興趣關(guān)系(threats interestedness relation,簡(jiǎn)稱 TIR)模型���。通過(guò)對(duì)源地址�����、目的地址、端口進(jìn)行監(jiān)控,構(gòu)建 TIR 樹,可有效識(shí)別 3 種攻擊����。
對(duì)一個(gè)服務(wù)器而言��,以前訪問的用戶往往還會(huì)再次出現(xiàn)�����。在 DDoS 發(fā)生時(shí)�,為這些用戶提供服務(wù),能夠有效地抵御攻擊����。基于歷史IP的過(guò)濾方法(history-IP filtering)基于這一原理�����,根據(jù)正常訪問源地址出現(xiàn)的頻率和相應(yīng)的數(shù)據(jù)包數(shù)構(gòu)建了IP地址數(shù)據(jù)庫(kù),并且采用滑動(dòng)窗口進(jìn)行過(guò)期地址淘汰����。埃文科技IP應(yīng)用場(chǎng)景數(shù)據(jù)庫(kù)包含了43億全量IP數(shù)據(jù),可有效識(shí)別機(jī)器����、爬蟲流量、“非人類使用者”等多種網(wǎng)絡(luò)風(fēng)險(xiǎn)�。在 DDoS 攻擊發(fā)生時(shí),依據(jù) IP 地址數(shù)據(jù)庫(kù)提供的數(shù)據(jù)服務(wù),直接識(shí)別風(fēng)險(xiǎn)IP�,從IP源地址開始保證網(wǎng)絡(luò)安全�����。
21世紀(jì)的今天���,DDoS 攻擊仍然是互聯(lián)網(wǎng)安全重要威脅之一。及時(shí)更新網(wǎng)絡(luò)安全設(shè)備和軟件�����,檢查電腦漏洞���,能夠有效監(jiān)測(cè)惡意軟件��,降低操作系統(tǒng)被感染的風(fēng)險(xiǎn)��,同時(shí)也要提高個(gè)人計(jì)算機(jī)安全防護(hù)意識(shí)�����,創(chuàng)造一個(gè)安全的計(jì)算機(jī)使用環(huán)境�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
